数据泄露的幕后：安全管理团队的5个问题

萌时光

数据泄露的幕后：安全管理团队的5个问题
有消息称，多达1.43亿美国人可能已经从消费信贷报告机构Equifax窃取了他们的数据，这一消息再次将数据安全推入了新闻。
虽然这次攻击特别令人震惊——被盗数据包括社会安全号码、出生日期、驾照号码和一些信用卡号码——但每一次数据泄露都有可能对生活和企业造成严重破坏。
消费者想知道他们能做什么，而且重要的是，他们想知道他们委托的公司做了什么，以保证他们的安全。
学习Rackspace如何处理数据安全，我坐下来与Rackspace管理安全运营总监Daniel Clayton和我们客户安全操作中心的高级经理Travis Mercier了解实践所有的公司都应该遵循提高操作弹性更好应对未来类似的攻击。
Clayton在为美国国家安全局和英国军方建立和运行了20多年的运营后，来到Rackspace，负责监督全球客户安全操作和Rackspace管理安全的战略。Mercier拥有13年的网络安全经验，他负责公司的日常安全运营。
在一次重大的突破之后，幕后发生了什么？首先，会发生什么？如需阅读更多文章，欢迎访问香港虚拟主机cn.bluehost.com
尽管每个安全操作都是不同的，但您首先要做的是评估情况——了解您失去了什么，谁需要从各个部门拉进来，然后开始调查事实。
下一步是决定谁、什么、什么时候、在哪里、为什么以及如何做。具体地说：
数据泄露背后的幕后操作者是谁？这有助于找出原因，以及如何帮助理解动机和战术、技术和程序，或TTPs。在这一步中不要花费太多时间是很重要的，因为您冒着被拒绝回答其他关键问题的风险，虽然归因是有帮助的，但并不是所有的事情都在调查中。
什么数据被拿走了，数据的范围被泄露了？这可以帮助您了解对手和他们的动机是什么数据，从而开始寻找对手可能在哪里进行了投票，或者对手可能试图进入的其他地方。
这一数据是何时发生的？这个活动什么时候开始的，它持续了多长时间？这将有助于通过缩小安全团队分析的时间范围来进行调查。它避免了大范围捕捉——在更大的一段时间内回顾所有的活动。
泄露的数据存储在哪里？这将有助于限制调查的范围，并将重点放在特定的一套系统上，从而极大地缩短开始调查的时间，并开始确定下一步的行动。
为什么对手要攻击这些系统？这实际上是为了更好地理解对手的动机，这有助于确定对手是谁，以及他们想要达到的目标是什么类型的数据和目标。
他的对手是如何获得被入侵的系统和应用程序的？这可以说是最重要的问题，也是解决黑客攻击和切断攻击者权限的关键。了解攻击者如何能够利用环境，使组织能够部署对抗措施和修复漏洞，以阻止当前的攻击者，并帮助阻止其他攻击者使用类似的技术来获得访问权。
一旦所有的决定都确定下来，下一步就是找出阻止或减缓出血［WU1］的最好方法。这将取决于对手的情况，以及此次攻击活动的持续时间。如果您知道这是他们第一次进入到环境中，并且只在24小时内或更少的时间内采取最小的行动，那么最好立即切断他们的联系。但是，如果这个漏洞已经持续了6个月或更长时间，那么很有可能他们有多种方式重新回到环境中，您需要在充分参与［WU2］之前对其进行评估。
如果妥协发生较大的一段时间，它是把一些缓和的关键控制，但您要小心，您可能不想完全切断对手，因为如果您控住他们，他们可以休眠，或者更糟的是，成为恶意和毁灭证据。这真的会使调查复杂化。